Mit welchen Dienstleistern muss man Verträge zur Auftragsverarbeitung schließen?

hopi-admin
Team Pioneers 10. März 2019
0 Kommentar

Auftragsverarbeitung ist für Unternehmen eigentlich eine super Sache, denn wenn eine Auftragsverarbeitung vorliegt, dann braucht man keine Einwilligung der betroffenen Personen und auch keine gesetzliche Erlaubnis und die Personen müssen auch nicht benachrichtigt werden. Ein Vertrag mit dem Auftragsverarbeiter genügt.
Es ist nicht ganz einfach, festzustellen, mit welchen Dienstleistern man Verträge zur Auftragsverarbeitung schließen kann und mit welchen nicht. Deshalb sollten Sie sich immer dann, wenn sie Aufgaben an andere rechtliche Einheiten übertragen und davon auch personenbezogene Daten betroffen sind, folgende Fragen stellen:

  • Von Datenverarbeitung im Auftrag spricht man, wenn sich der Verantwortliche einer Stelle bedient, die für diesen im Auftrag und weisungsbedingt personenbezogene Daten verarbeitet. Dies bedeutet, der Auftragsgegenstand muss sich auf die technische Hilfstätigkeit beziehen.
  • Die betroffene Person willigt in der Regel nur der Verarbeitung ein, wenn sie weiß, wer Zugriff auf die Daten hat. Sofern sich der Verantwortliche nunmehr technische Hilfe zur Seite holt, ist ein schriftlicher Vertrag zwischen dem Verantwortlichen und dem Beauftragten aufzusetzen. Zudem muss der Verantwortliche sicherstellen, dass der Beauftragte die Anforderungen der DS-GVO umsetzt. Hierzu eignen sich die technischen und organisatorischen Maßnahmen (TOMs) des Beauftragten bestens.
  • Keine Auftragsdatenverarbeitung liegt hingegen vor, wenn eine Funktion übertragen wird, z.B. bei der die der Verarbeitung zugrundeliegende Aufgabe mit übertragen wird (Bspl.: Mitarbeiterrekrutierung, Vertragskundenbetreuung, Finanz-, Steuer- und Unternehmensberatung, Wirtschaftsbetreuung, Inkassotätigkeit usw.). Dies geht über Hilfstätigkeiten hinaus und der Dritte handelt dort meist eigenverantwortlich. Die hierzu notwendige Weitergabe bedarf einer speziellen Rechtsgrundlage nach Art. 5 und 6 DS-GVO.

Keine Auftragsdatenverarbeitung liegt ferner vor, wenn die fremd in Anspruch genommene Tätigkeit, die im eigentlichen Kern nicht den Umgang mit personenbezogenen Daten betrifft, sondern andere Dienstleistungsschwerpunkte im Vordergrund stehen und der notwendigerweise damit verbundene Umgang mit personenbezogenen Daten nur ein unvermeidliches „Beiwerk“ oder eine Kenntnisnahme personenbezogener Daten bei der Leistungserbringung ist, z.B.: Briefsendung über einen Kurierdienst, Telekommunikationsdienst.

Entscheidend für die Abgrenzung ist daher, ob der Beauftragte lediglich eine Hilfsfunktion wahrnimmt.

Fragen Sie im Zweifel Ihren Datenschutzbeauftragten. Auch die Landesdatenschutzbehörden geben Auskunft, eine ihrer Aufgaben ist es, Unternehmen zu beraten.

Typische Fälle für eine Auftragsverarbeitung

  • externe Lohn- oder Gehaltsabrechnung
  • Newsletterversand durch eine Marketingagentur
  • Nutzung von Cloud-Diensten zur Personal- und Kundenverwaltung
  • Datenträgerentsorgung, Aktenvernichtung
  • Lettershops, die in Ihrem Auftrag Werbung an Kunden versenden
  • Webanalyse- und Trackings-Dienste wie Google Analytics
  • Kunden-Helpdesks
  • Ausgelagerte Rechenzentren
  • Callcenter, die Kundendaten ohne wesentliche eigenen Entscheidungsspielräume verarbeiten
  • Dienste, die Daten erfassen, konvertieren oder Dokumente einscannen
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen

Wenn Sie die gesamte Verarbeitung der Daten auf jemand anderen übertragen und nicht mehr selbst „Herr der Daten“ sind, dann liegt keine Auftragsverarbeitung vor. Das ist der Fall, wenn Sie beispielsweise nicht mehr selbst darüber entscheiden, wer Zugang zu den Daten hat, welche Daten gelöscht werden und wenn Sie auch nicht mehr für Auskünfte zuständig sind. Also wenn der Dienstleister eigenverantwortlich mit den ihm anvertrauten Daten umgeht. Dann spricht man von einer Funktionsübertragung.
Wenn die Dienstleistung in speziellen Gesetzen geregelt ist (zum Beispiel bei Telekommunikations- oder Postdienstleistungen), liegt ebenfalls keine Auftragsverarbeitung vor. Auch wenn es um rein technische Wartung geht, findet laut Bitkom keine Datenverarbeitung statt.

Kategorien: Auftragsdatenverarbeitung, Basiswissen
Schlagwörter: ,

Ähnliche Beiträge

EuGH zu Privacy Shield: Datenexport in die USA unzulässig

Der EuGH schaltet das Internet ab – nach einem Urteil im Dezember 2020 zu Privacy Shield des EuGH darf keine Website, kein Unternehmen mehr US-Anbieter verwenden, wenn dabei personenbezogene Daten verarbeitet werden. Das kommt der (juristischen) Abschaltung des Internets gleich, da es kaum eine Website, kaum einen Dienst gibt,bei dem nicht auch wenigstens teilweise Daten auch in die USA übertragen werden.

hopi-admin
Team Pioneers 15. Dezember 2020
0 Kommentar

Auftragsverarbeiter und Verantwortlicher

Der „Verantwortliche“ und der „Auftragsverarbeiter“ stellen die zentralen Rollen im Datenschutzrecht dar. Durch sie wird festgelegt, wen die datenschutzrechtlichen Pflichten hinsichtlich einer bestimmten Datenverarbeitung treffen. Der folgende Beitrag erläutert, auf welche Weise diese Rollen vergeben werden und welche Folgen dies hat.

hopi-admin
Team Pioneers 17. Juni 2021
0 Kommentar

Rückmeldungen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Berichte

Belästigendes oder schikanierendes Verhalten (z. B. Mobbing)
Enthält beleidigende oder herabsetzende Inhalte
Enthält irreführende oder falsche Informationen
Enthält Inhalte für Erwachsene oder sensible Inhalte
Enthält Spam, gefälschte Inhalte oder potenzielle Malware

Alle Mitglieder

Um die Seite zu nutzen, melden Sie sich an.

Du kannst nicht mehr:

  • Beiträge des gesperrten Mitglieds sehen
  • Erwähne dieses Mitglied in Beiträgen
  • Dieses Mitglied zu Gruppen einladen
  • Nachricht an dieses Mitglied
  • Dieses Mitglied als Freund hinzufügen

Bitte gib einen Benutzernamen ein Diese Aktion entfernt das Mitglied auch aus deinen Verbindungen und sendet einen Bericht an den Administrator der Website. Dieser Vorgang kann einige Minuten dauern.

Berichte

Du bist bereits eingeloggt. .